摘要:用戶輸入用戶名和密碼后��,用戶名和密碼會(huì)經(jīng)過加密附加到請(qǐng)求信息中再次請(qǐng)求服務(wù)器���,服務(wù)器會(huì)根據(jù)請(qǐng)求頭攜帶的認(rèn)證信息��,決定是否認(rèn)證成功及做出相應(yīng)的響應(yīng)���。給出的認(rèn)證提示���。認(rèn)證窗口關(guān)閉之前,瀏覽器狀態(tài)一直是等待用戶輸入�����。
Basic 概述
Basic 認(rèn)證是HTTP 中非常簡單的認(rèn)證方式�,因?yàn)楹唵危圆皇呛馨踩?���,不過仍然非常常用。
當(dāng)一個(gè)客戶端向一個(gè)需要認(rèn)證的HTTP服務(wù)器進(jìn)行數(shù)據(jù)請(qǐng)求時(shí)����,如果之前沒有認(rèn)證過,HTTP服務(wù)器會(huì)返回401狀態(tài)碼�,要求客戶端輸入用戶名和密碼。用戶輸入用戶名和密碼后�����,用戶名和密碼會(huì)經(jīng)過BASE64加密附加到請(qǐng)求信息中再次請(qǐng)求HTTP服務(wù)器,HTTP服務(wù)器會(huì)根據(jù)請(qǐng)求頭攜帶的認(rèn)證信息�,決定是否認(rèn)證成功及做出相應(yīng)的響應(yīng)。
使用Tomcat進(jìn)行Basic認(rèn)證
如果熟悉Tomcat的朋友�����,肯定知道Tomcat自帶的有個(gè)manager項(xiàng)目�,訪問這個(gè)項(xiàng)目需要Basic認(rèn)證。
下面我們來給我們自己的項(xiàng)目加Basic認(rèn)證�����。
配置項(xiàng)目的 web.xml
示例:
lvyou
home
com.coder4j.web.servlet.HomeServlet
home
/home.do
GuiLin
/*
lvyou
BASIC
guilin photos
index.html
index.jsp
對(duì)上面加注釋的部分進(jìn)行簡單的解釋:
web-resource-name : 給這個(gè)認(rèn)證起個(gè)名字
url-pattern : 哪些地址需要認(rèn)證����,/*表示此項(xiàng)目的任意地址都需要認(rèn)證��,/lvyou/*表示/lvyou下的任意地址都需要認(rèn)證����。
role-name : 哪些角色的用戶認(rèn)證后可以訪問此資源(光認(rèn)證還不夠喲,必須得是許可的角色喲)���,我這里規(guī)定必須是lvyou這個(gè)角色的用戶才能看我的照片�����。
auth-method : 認(rèn)證方式為BASIC認(rèn)證����。
realm-name : 給出的認(rèn)證提示。
修改 tomcat-users.xml
tomcat 提供了用戶配置文件���,我們直接使用就行了����。
至此���,兩步就完成了Basic 認(rèn)證����,如果想訪問我的照片����,就需要輸入tom 和 tomcat才行喲。
當(dāng)然配置方式不止這一種����,網(wǎng)上一搜很多的���,有機(jī)會(huì)再整理一部分,這里僅僅想介紹Basic認(rèn)證��。
Basic 認(rèn)證的過程
由上面的實(shí)戰(zhàn)可以得知�����,Basic認(rèn)證的流程很簡單�����,現(xiàn)概述如下:
1, 客戶端向服務(wù)器請(qǐng)求數(shù)據(jù)����,并且請(qǐng)求的數(shù)據(jù)是需要認(rèn)證才能看的���,并且客戶端目前沒有認(rèn)證過�。
2, 訪問的頁面需要認(rèn)證��,客戶端彈出認(rèn)證窗口����。
認(rèn)證窗口關(guān)閉之前�����,瀏覽器狀態(tài)一直是:pending等待用戶輸入�。
點(diǎn)擊 x 或取消�����,將會(huì)出現(xiàn)401狀態(tài)碼�����,響應(yīng)內(nèi)容如下:
響應(yīng)頭中有一句話:
WWW-Authorization: Basic realm="guilin photos"
表示需要認(rèn)證����,提示信息為:guilin photos
3, 刷新頁面,輸入正確的用戶名和密碼�,將會(huì)進(jìn)入到我們的項(xiàng)目中
輸入用戶名和密碼的請(qǐng)求信息頭如下:
這是我們的認(rèn)證信息。加密策略如下:
用戶名和密碼用:合并�,將合并后的字符串使用BASE64加密為密文,每次請(qǐng)求時(shí)����,將密文附于請(qǐng)求頭中,服務(wù)器接收此密文���,進(jìn)行解析��,判斷是否認(rèn)證
Java 實(shí)現(xiàn)
我們知道了流程�,當(dāng)然可以用代碼來實(shí)現(xiàn)。
核心代碼:
HttpSession session = request.getSession();
String user = (String) session.getAttribute("user");
String pass;
if (user == null) {
try {
response.setCharacterEncoding("utf-8");
PrintWriter out = response.getWriter();
String authorization = request.getHeader("Authorization");
if (authorization == null || authorization.equals("")) {
response.setStatus(401);
response.setHeader("WWW-Authenticate", "Basic realm="input username and password"");
out.print("401 認(rèn)證失敗");
return;
}
String userAndPass = new String(new BASE64Decoder().decodeBuffer(authorization.split(" ")[1]));
if (userAndPass.split(":").length < 2) {
response.setStatus(401);
response.setHeader("WWW-Authenticate", "Basic realm="input username and password"");
out.print("401 認(rèn)證失敗");
return;
}
user = userAndPass.split(":")[0];
pass = userAndPass.split(":")[1];
if (user.equals("111") && pass.equals("111")) {
session.setAttribute("user", user);
// 跳轉(zhuǎn)合適的地方
} else {
response.setStatus(401);
response.setHeader("WWW-Authenticate", "Basic realm="input username and password"");
out.print("401 認(rèn)證失敗");
return;
}
} catch (Exception ex) {
ex.printStackTrace();
}
} else {
// 跳轉(zhuǎn)合適的地方
}
Basic認(rèn)證的核心就是響應(yīng)401狀態(tài)碼����,告知瀏覽器需要用戶輸入用戶名和密碼,然后就是后臺(tái)按照Basic加密的方式進(jìn)行解密驗(yàn)證即可�。
缺點(diǎn)
HTTP基本認(rèn)證的目標(biāo)是提供簡單的用戶驗(yàn)證功能,其認(rèn)證過程簡單明了���,適合于對(duì)安全性要求不高的系統(tǒng)或設(shè)備中���,如大家所用路由器的配置頁面的認(rèn)證,幾乎都采取了這種方式��。其缺點(diǎn)是沒有靈活可靠的認(rèn)證策略����,另外��,BASE64的加密強(qiáng)度非常低��,直接能在請(qǐng)求頭中看到,幾乎相當(dāng)于明文了��。
文章版權(quán)歸作者所有��,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/65434.html
